Sammendrag
Den årlige it-revision for Ballerup Kommune for 2021 viser et fint resultat. Rapportens hovedkonklusion er, at kommunens håndtering af it-sikkerhed både er tilstrækkelig og hensigtsmæssig. Rapporten har en anbefaling, som går på at forbedre sikkerheden omkring udbetalinger for at sikre kommunen mod svindel, hvor medarbejdere udbetaler midler til sig selv. Administrationen har forholdt sig til anbefalingen og indført nye sikkerhedsforanstaltninger.
Der er udarbejdet to it-revisionrapporter for IT-Forsyningen for 2021. Disse er uden nævneværdige forbehold, hvilket også var tilfældet i 2020.
Baggrund
Der gennemføres en årlig it-revision for kommunen. Denne er gennemført for Ballerup Kommune af revisionsfirmaet BDO. Det er en ændring i forhold til tidligere, hvor revisionen blev udført af revisionsfirmaet PWC. Ændringen skyldes valg af nyt revisionsfirma i 2021.
Sagsfremstilling
Ballerup Kommune
Den årlige it-revision for Ballerup Kommune for 2021 viser et fint resultat. Rapportens hovedkonklusion er, at kommunens håndtering af it-sikkerhed både er tilstrækkelig og hensigtsmæssig
Konklusionen fra BDO er: "Det er vores opfattelse, at kommunen i alle væsentlige henseender har implementeret hensigtsmæssige interne it-kontroller, der medvirker til at opretholde informationernes integritet og sikkerheden af data, som it-systemerne behandler i forhold til regnskabsføringen og regnskabsaflæggelsen.Vi vurderer, at kommunens overordnede styring af it-sikkerheden kan forbedres ved at gennemføre følgende anbefalinger: Vi anbefaler, at kommunen implementerer en kontrol af, at sikkerhedsadministratorer ikke har foretaget udbetaling til sig selv."
Hovedkonklusionen indeholder en anbefaling. Anbefalingen går på at forbedre sikkerheden omkring udbetalinger for at sikre kommunen mod svindel, hvor medarbejdere udbetaler midler til sig selv. Revisionen fandt 12 brugere, som ikke var identificeret med cpr-nummer i et af kommunens it-systemer. Dette er efterfølgende blevet undersøgt. Flere af brugerne er nedlagt og de resterende vil indgå i en løbende kontrol fremadrettet. Anbefalingens årsag og efterfølgende aktiviteter er uddybet i bilag 1, nr. 1.21.
I rapporten fra 2020 fik kommunen karakteren "meget tilfredsstillende", som var den bedste ud af fire mulige, og der var en anbefaling til forbedring af adgangskontrol, som blev udført i 2020. I år har revisionsrapporten samme høje niveau som i 2020.
IT-Forsyningen
I 2021 har IT-Forsyningen fået udarbejdet to it-revisionserklæringer af revisionsfirmaet Deloitte:
- Erklæring om generelle it-kontroller
- Erklæring om informationssikkerhed og foranstaltninger mod databeskyttelse og behandling af personoplysninger i henhold til databehandleraftalen med ejerkommunerne.
Erklæring om generelle it-kontroller var uden forbehold i 2021, hvilket også var tilfældet i 2020. Her var det Deloittes opfattelse, at beskrivelsen af IT-Forsyningens generelle it-kontroller er retvisende og at kontrollerne var hensigtsmæssigt udformet, og at de testede kontroller har fungeret effektivt.
Erklæring om informationssikkerhed og foranstaltninger mod databeskyttelse og behandling af personoplysninger i henhold til databehandler aftalen med ejerkommunerne var også uden forbehold i 2021, og det var også tilfældet i 2020. Her var det Deloittes opfattelse, at beskrivelsen af IT-Forsyningens services er retvisende, og at kontrollerne var hensigtsmæssigt udformet, samt at de testede kontroller har fungeret effektivt.
